分享信息安全工作小记

0x01 工作背景:


1、 某厅级部门政府站点被篡改

2、 上级主管部门安全通告

3、 配合该部门查明原因限期整改

0x02 工作记录:


1、 信息收集

A、首先到机房了解了一下拓扑图,大概就是:互联网-防火墙-web应用防火墙-防篡改-DMZ服务器区;

B、然后了解了一下web应用程序架构,大概就是:3台服务器里面1台跑iis中间件1台跑sqlserver2008数据库,站库分离,服务器性能比较好,1台syslog服务器接收日志;

C、网站属于.net开发,之前加固过:

a、后台限制IP访问,

b、FCKEDITOR上传目录禁止执行,

c、sqlserver数据库降低权限使用network service并且关闭cmdshell等高危组件。

2、 访谈管理员

A、与管理员沟通得知某个HTML页面被黑客篡改了一些不好的内容,查看数据库日志以及数据库中记录的网站操作记录分析判断不属于后台管理员修改;

B、查看web应用防火墙日志的时候发现并未记录任何日志,访谈得知机房防火墙坏掉了,就变动了一下线路,所有请求web服务器的用户都不会经过web应用防火墙,相当于就是个摆设;

C、FCKEDITOR编辑器任意上传漏洞早在2013年就已经存在,当时开发商没有历史源代码无法升级采用web应用防火墙+IIS限制执行权限方法;

D、2013年湖南省金盾信息安全测评中心的信息安全等级保护测评报告提出的整改建议甲方不知道如何整改就没有整改到位。

3、 情况分析

在初步了解完情况以后,对web目录进行可疑文件筛选:

enter image description here

(黑客所放置的后门程序,文件修改时间被伪装)

enter image description here

(webshell内容,变异的一句话)

enter image description here

(通过FCKEDITOR编辑器上传的一句话木马文件初步判断为2014年6月30日黑客攻击)

初步判断为FCKEDITOR编辑器被黑客利用了,接下来对iis 36GB日志进行压缩打包:

enter image description here

(成功打包网站日志)

enter image description here

(以webshell路径做为筛选条件初步快速从33GB日志文件内找出所有可疑IP地址以及时间)

enter image description here

入侵手段分析:最终分析得知最早黑客攻击利用 Common/UpLoadFile.aspx文件上传了ASPX木马文件在common/201406/20140619183500432547.aspx,

此上传功能并未调用FCKEDITOR编辑器,之前加固限制FCKEDITOR编辑器上传文件执行权限成功阻止了黑客利用该漏洞

enter image description here

黑客通过 /common/201406/20140619183500432547.aspx文件写入了/userspace/enterprisespace/MasterPages.aspx一句话木马文件,

后续相继写入了之前扫描出的可疑ASPX文件,成功固定了黑客入侵手段、时间、IP地址、综合分析在服务器的操作记录,由于综合分析操作记录部分涉及到该单位隐私信息不便公开

4、 反向渗透取证定位

在对3个月内日志仔细分析发现几个可疑的重庆和广东5个IP地址中113...173并未攻击成功,其他4个IP地址为1人或者1个团伙所使用IP地址:

enter image description here

(黑客利用FCKEDITOR编辑器漏洞成功建立了a.asp文件夹尝试利用IIS解析漏洞,但是由于IIS中进行过安全配置以及IIS7.5已经修补该解析漏洞入侵并未成功,故忽略)

对剩余的4个IP地址仔细分析发现61...181属于一个黑客使用的windows服务器:

enter image description here

enter image description here

(对该服务器进行收集得知操作系统为windows2003,浏览器ie8.0,绑定域名www.**dns.cn)

接下来对该服务器进行渗透测试,目的拿下其服务器获取黑客使用该服务器做跳板的日志以及黑客的真实IP地址,对其进行端口扫描结果:

[cce]PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 6.0
808/tcp open http Microsoft IIS httpd 6.0
1025/tcp open msrpc Microsoft Windows RPC(可以openvas或者nessus远程获取一些RPC信息)
1026/tcp open msrpc Microsoft Windows RPC(可以openvas或者nessus远程获取一些RPC信息)
1311/tcp open ssl/http Dell PowerEdge OpenManage Server Administrato
r httpd admin(通过HTTPS协议访问后了解到计算机名称为EASYN-9D76400CB ,服务器型号PowerEdge R610)
1723/tcp open pptp Microsoft (黑客用做跳板开放的PPTP VPN服务器)
3029/tcp open unknown
8888/tcp open sun-answerbook?
10000/tcp open ms-wbt-server Microsoft Terminal Service(远程桌面服务,进行分析判断时发现存在黑客安装的shift后门)
[/cce]

enter image description here

(黑客的shift后门真逗,竟然不使用灰色按钮,伪装失败,肉眼直接识别是后门)

接下来确定渗透思路为:

A、使用漏洞扫描设备扫描主机漏洞以及每个端口存在的弱口令;

B、对shift后门有着多年爆菊花经验,进行类似于xss盲打,用鼠标点击每个角落或者同时按住ctrl+alt+shift来点击,最后尝试每个按键以及常用组合键;

C、通过1311端口的HTTPS可以对windows管理员进行暴力破解;

D、从80端口绑定的站点进行web渗透。

运气还不错,找到一个显错注入点直接sa权限:

enter image description here

(SQL2008显错注入成功)

enter image description here

(测试SA可以执行cmdshell,但是权限为网络服务,无法直接添加命令,还需要提权)

思考后觉得数据库与网站都属于network service,应该可以通过数据库写文件到网站根目录,然后连接菜刀提权进入服务器:

enter image description here

(通过显错得知了网站根目录,然后利用echo命令写入shell成功)

enter image description here

(webshell连接成功,运气真好!)

enter image description here

(从web.config文件中找到明文数据库sa超级管理员用户密码)

enter image description here

(iis6提权成功)

enter image description here

(明文管理员密码读取成功)

enter image description here

(进入服务器分析杀毒软件历史日志,得知黑客入侵手法)

enter image description here

(查看VPN配置信息取出日志,顺便了解到该服务器220天没有重启了,真牛。。。)

enter image description here

(提取出存在于系统中的shift后门)

继续向下分析,黑客是否种植远程控制木马或者其他rootkit:

enter image description here

(系统服务中发现异常服务项为远程控制木马,爆破1组准备)

enter image description here

(小样,默认还设置了注册表不允许administrators组无权限)

enter image description here

(定位到木马的DLL,提取并固定到入侵证据中)

enter image description here

(黑客惯用手法,伪装与正常ASPX程序相关文件名,修改文件时间,就连webshell代码都是那么几个一模一样的) 后续还发现黑客添加成功asp.net用户,但是没有种植驱动级后门,当前也并未发现其他后门。综合系统日志、IIS日志、webshell、逆向分析shift后门以及远程控制木马结果、数据库日志、防火墙日志等判断出黑客是重庆的XXX,这里就不提这些了。

以上内容仅供技术交流参考,欢迎大家与我互相交流,同时请关注长沙雨人网安的专业安全团队。

Comment

评论:牛逼, 学习了

评论:最爱看反渗透~

评论:三年后,他会从这篇文章找到你,从如家找到你的身份证,从12306找到你家人,从微博找到你家成员照片。
所以,现在开始,请帮他留意一下,找份好工作。

评论:好像看出来了什么~

评论:学习了。牛。。

评论:宇哥威武啊。拜读了

评论:师傅 ,看了之后让我的心再次燃烧起来了

评论:牛 X

评论:学习拉~~反日

评论:软件名称叫wce,你可以找一下

评论:iis6.exe

评论:鸡鸡哈

评论:不错不错!学习了!行云流水,让我们看到的不只是技术,更是其思维~问下,重庆的~后续~

评论:直接终端读密码比mimikatz方便那,能分享那个exe吗?

评论:精彩精彩!

评论:看一看,学一学

评论:学习了,这服务器安全设置的。

评论:楼主,用的什么提权工具?

评论:支持宇哥

评论:加我QQ:8454051聊

评论:赞一个,抛砖引玉了

评论:宇哥,能指点一下小弟吗?目前在学校学习,未能接触到网络安全方面,希望宇哥能指点小弟学习这门的方向即可。不要让小弟在百度上乱撞了。

评论:想学这门,但在百度上找的很乱,乱逛逛进来了,看了宇哥的小记,希望宇哥指点小弟学习的方向,小弟对这门行业很有兴趣,但目前很迷茫,希望宇哥指点一下学习的方向即可。

评论:晕!

评论:汗。实属失误,完了,这下泄密了要扣奖金!!!

评论:inurl:/Newslist.aspx?tid= inurl:dns

评论:此处无码,打码不专业啊!
static/drops/full/9fd811a53f5616933a946e5a8e56466111b2e1e1.jpg

评论:老大,,明明是你没打码吧,,呵呵呵!

评论:额,本身这个事情也是近期做的。我也没帮它加固,更没想到能被你知道IP地址。
但是:
1、我没有webshell,你所说的不能执行的肯定是别人的马,
2、可能乌云有人像你一样逆过去了,不然exe我删除了的。
请教下怎么看马赛克的

评论:打码这么多都被你还原了,佩服佩服。这个服务器很多日志都被清理过了。

评论:忍不住又看了下那个服务器,

评论:思路非常清晰,赞一个。—61.143.160.181

评论:牛逼, 学习了

评论:学习了,赞一个

评论:嗯,知道了。为什么总感觉这个黑客是不是菜鸟啊。。。不清除日志吗?

评论:同长沙的

评论:我造了一把刀,被别人拿去杀人

评论:还行,还要继续下去?抓犯人呀

评论:搞了很多,一篇文章无法体现所有技术,正向连接类型的LINUX DDOS集群渗透也做过

评论:ASPNET可能是安装了.net出现的,但是asp.net肯定是黑客弄的。

评论:呵呵,你就是传说中那老黑?赶快转型吧,技术不能干一辈子

评论:快快加入我们吧

评论:见笑了

评论:搞个linux反渗透吗!一天到晚都是win.

评论:支持大长沙·

评论:嘿嘿

评论:做运维的时候遇到过几次,asp.net用户不知是巧合?还是就是这货?特征就是网站被挂六合与菠菜。

评论:厉害

评论:不错

评论:我离大牛好近,上次还看到你们的招聘广告。

评论:宇哥,安全领域大牛级了,赞一个

评论:宇哥,安全领域大牛级了

评论:赞一个

评论:行云流水

评论:厉害

评论:支持宇哥

评论:有意思啊
长沙的不错

发表评论

电子邮件地址不会被公开。 必填项已用*标注